Лучший способ проверить зависимости в Yarn 2 (Berry)?
Я ищу способ проверки зависимостей на наличие уязвимостей в Yarn 2. В Yarn 1.x было возможно то же самое, что и в npm, запустив yarn audit вместо того npm audit. Но с Yarn 2 такой команды нет. И, согласно этой проблеме на ягодном гитхабе, она не будет реализована (разработчики проекта предпочитают, чтобы это было сделано через плагин).
Я пробовал бежать npm install --package-lock-only && npm audit но установка блокирует некоторые из моих локальных пакетов (которые я перечисляю в package.json, используя link: тип URL).
Это не было бы сложным плагином для сборки, и я бы хотел немного повеселиться, но это было бы не так весело, как просто установить что-то, а затем продолжить свой день. Я огляделся, но всегда оказываюсь в одной и той же паре репозиториев vapourware / Abandonware.
Но я все еще думаю, что просто не нахожу их. Или есть недокументированный трюк, чтобы облегчить это. Отсюда мой вопрос:)
PS, да, я могу удалить локальные пакеты, используя link: временно, пока я запускаю npm install а также npm audit выше, но это не совсем то, что я хочу автоматизировать для CI.
2 ответа
Недавно я экспериментировал с Yarn 2 и увидел, что это можно сделать с помощью утилиты @ efrem / auditdeps:
yarn dlx @efrem/auditdeps [--level=(low|moderate|high|critical)] [--production]
Результат не такой красивый, как из npm audit, но вы получите более подробную информацию в формате JSON, и вы можете передать ее другим инструментам или любому настраиваемому сценарию переформатирования, чтобы получить именно то, что вы хотите.
Я бы попробовал https://snyk.io/ не бесплатно для коммерческого использования большой командой, но он может помочь вам начать ежедневные пробежки и т. Д.
(Я никоим образом не связан с Snyk.io)